Kenne deine Feinde - Das (Netzwerk-)Verhalten verrät den Angreifer. Jedes Mal.

März 8, 2022
Teppo Halonen
Senior-Vizepräsident EMEA
Kenne deine Feinde - Das (Netzwerk-)Verhalten verrät den Angreifer. Jedes Mal.

In dem Maße, in dem die neue Realität der ständigen Gefahren des Cyberwar allmählich Einzug hält, arbeiten Organisationen weltweit an der Verstärkung ihrer Abwehrkräfte. Die meisten Cyberangriffe werden durch präventive Schutzmaßnahmen abgewehrt. Hochmotivierte Angreifer finden jedoch immer wieder Wege, um diese Schutzmaßnahmen zu überwinden.

Nationale Akteure (APTs) nutzen manchmal ihren Zugang zu neuartigen Sicherheitslücken (Zero-Days). Sie verfügen über umfangreiche Ressourcen und können Social Engineering betreiben oder sich sogar physisch Zugang zu ihren Zielen verschaffen. Organisierte cyberkriminelle Gruppen hingegen können versuchen, Insider in ihren Zielunternehmen für ihre Angriffe zu nutzen.

 

Unabhängig vom Akteur der Bedrohung - das Verhalten der Angreifer ist ähnlich

Wenn es einem Angreifer gelungen ist, in der Zielumgebung Fuß zu fassen, ist es entscheidend, ihn zu entdecken, bevor er das gesamte System kompromittieren kann. Jeder Angriff beginnt mit einer ersten Kompromittierung, bei der der Angreifer wahrscheinlich die folgenden Ziele erreicht hat:

  1. die Fähigkeit erlangen, in einem oder mehreren Geräten oder Diensten innerhalb der Umwelt "von der Erde zu leben";
  2. Zugang zu gültigen Anmeldedaten erhalten hat;
  3. umging Abwehrmaßnahmen wie Identitätsmanagement, Firewalls, IDS, Antivirensoftware und sogar EDR-Lösungen;
  4. begannen, ihre ultimativen Ziele durch die Ausführung ihrer "Cyber Kill Chain" zu erreichen.

Je nach Zielorganisation und dem betreffenden Angreifer kann das Endspiel folgendermaßen aussehen:

  • Sabotage in irgendeiner Form;
  • Spionage, Verschlüsselung und/oder Exfiltration von Daten;
  • Ressourcen zu stehlen oder Betrug zu begehen.

Bevor der Angreifer jedoch dieses Endspiel erreichen kann, muss er - unabhängig von seinen Zielen - die folgenden Maßnahmen ergreifen, um sein Ziel zu erreichen:

  1. die Beständigkeit in der Umwelt gewährleisten;
  2. eine Fernverbindung (C2) zur Umwelt herstellen;
  3. Aufklärungsarbeit leisten;
  4. Zugangsprivilegien zu erweitern;
  5. sich seitlich in Richtung der anvisierten hochwertigen Werte/Daten bewegen.

Die Angreifer versuchen natürlich, all dies zu tun und dabei Abwehrmaßnahmen und Erkennung zu umgehen. Solche Aktionen entlang der Kill Chain führen jedoch zu Aktivitäten im gesamten Netzwerk - sei es ein physisches, cloud oder virtuelles Netzwerk.

KI hat bewiesen, dass sie bösartige Aktivitäten in großem Umfang und in Echtzeit erkennen kann

Während die Aktivitäten des Angreifers schwer zu erkennen und von regulären und sicheren Aktivitäten zu unterscheiden sind, hat sich künstliche Intelligenz (KI) als ein gutes Werkzeug dafür erwiesen - in großem Umfang und in Echtzeit. Vectra AI tut dies, indem es das Netzwerk auf Verhaltensmuster des Angreifers beobachtet - basierend auf einzelnen Schritten sowie dem Gesamtverlauf des Angriffs. Im Gegensatz zu anderen Cyber-Abwehrlösungen kann Vectra Angreifer aufspüren, indem es erkennt, was sie in Netzwerken und Systemen tun - nicht nur durch die Erkennung von Tools, Signaturen, IOCs oder Anomalien, sondern durch ihr konkretes Verhalten.

 

Vectra tut dies über die On-Prem-Netze und cloud (IaaS, SaaS und PaaS) hinweg, indem es speziell entwickeltes, patentiertes maschinelles Lernen und KI einsetzt - und damit 97 % der netzwerkbasierten Techniken von MITRE ATT@CK abdeckt.

 

Wenn Sie mehr darüber erfahren möchten, setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen, wie wir das machen und was Sie tun können. Wir können Sie auch mit einem unserer Kunden in Kontakt bringen, damit Sie dessen Erfahrungen mit unserer Lösung direkt erfahren.